EP2989576B1

EP2989576B1 - Sicherheitssystem mit kontomanager für eine tragbare medizinische vorrichtung

Info

Publication number: EP2989576B1
Application number: EP14727716.4A
Authority: EP
Inventors: Erik CARLSGAARD; Aaron Dinwiddie; Igor Gejdos; Michael Lee Long; Teresa OELMANN
Original assignee: F Hoffmann La Roche AG; Roche Diabetes Care GmbH
Current assignee: F Hoffmann La Roche AG; Roche Diabetes Care GmbH
Priority date: 2013-04-26
Filing date: 2014-04-24
Publication date: 2018-08-22
Anticipated expiration: 2034-04-24
Also published as: ES2881099T3; US20140324464A1; EP3462457A1; WO2014174038A2; EP3462457B1; PT2989576T; US9830673B2; WO2014174038A3; ES2690354T3; EP2989576A2

Claims

Sicherheitssystem für medizinische Daten, umfassend:
- eine tragbare medizinische Vorrichtung (28) zum Messen medizinischer Parameter, die auf einen physiologischen Zustand eines Säugers hinweisen; und

- eine Servervorrichtung (18), wobei die Servervorrichtung eine Speichervorrichtung umfasst und/oder funktionsfähig damit verbunden ist, wobei die Servervorrichtung einen Buchhaltungsmanager eines-Pflegemanagementsystem-Managementsystems beherbergt, wobei der Buchhaltungsmanager zum Verwalten der Konten konfiguriert ist, die in der Speichervorrichtung gespeichert sind, wobei die Konten ein erstes Konto, das mit einem Gesundheitsdienstleister verbunden ist, und eine Mehrzahl von Patientenkonten, die mit dem ersten Konto verbunden sind, umfasst, wobei jedes Patientenkonto medizinische Daten eines jeweiligen Patienten umfasst;

- ein Mobilgerät (20), das ein Anwendungsprogramm (32) beherbergt, wobei das Anwendungsprogramm mit der tragbaren medizinischen Vorrichtung und mit dem Buchhaltungsmanager zusammenarbeitsfähig ist, wobei das Mobilgerät mit der Servervorrichtung über ein Netzwerk (16) verbunden ist,
wobei die tragbare medizinische Vorrichtung zum wiederholten Messen medizinischer Parameter eines der Patienten konfiguriert ist;
wobei das Anwendungsprogramm zu wiederholten und voll automatischen Aufnehmen der gemessenen medizinischen Parameter von der Messvorrichtung konfiguriert ist und zum sofortigen Weiterleiten der aufgenommenen, gemessenen medizinischen Parameter zu dem Buchhaltungsmanager zum Speichern der Parameter in der Speichervorrichtung des Servers als Teil der Patientenbuchhaltung des Patienten konfiguriert ist,
dadurch gekennzeichnet, dass
die tragbare medizinische Vorrichtung, das Anwendungsprogramm und der Buchhaltungsmanager derart konfiguriert sind, dass nur eine einzige Kopie der gemessenen medizinischen Daten auf Dauer in der Speichervorrichtung gespeichert wird und derart, dass irgendwelche vorübergehend gebildeten Kopieren der gemessenen medizinischen Daten sofort von der tragbaren medizinischen Vorrichtung und dem Mobilgerät in nach Ausführen des Weiterleitens gelöscht werden,
wobei der Buchhaltungsmanager konfiguriert ist, die folgenden Schritte auszuführen:
- Aufnehmen einer Anforderung, ein erstes Konto zu deaktivieren;

- Entfernen von Zugang zu Daten, die mit dem ersten Konto verbunden sind;

- Identifizieren jedes der Patientenkonten, die mit dem ersten Konto verbunden sind und Deaktivieren jedes der identifizierten Patientenkonten;

- Senden einer elektronischen Benachrichtigung an die Patienten, die mit jedem der identifizierten Patientenkonten verbunden sind, wobei die elektronische Benachrichtigung den Patienten verständigt, dass das entsprechende Patientenkonto deaktiviert worden ist;

- Schaffen eines Prüfprotokolls in einem Datenspeicher, wo das Prüfprotokoll die Deaktivierung des ersten Kontos anzeigt; und

- Senden eines Beendigungsbefehls an das Anwendungsprogramm der Patienten, die mit jedem der identifizierten Patientenkonten verbunden sind, wobei die Anwendungsprogramme so konfiguriert sind, dass sie das Weiterleiten medizinischer Messdaten zum Buchhaltungsmanager auf das Erhalten des Beendigungsbefehls hin sofort beendigen.
Sicherheitssystem nach Anspruch 1,
- wobei die tragbare medizinische Vorrichtung einen Prozessor und eine Schnittstelle zum Austauschen von Daten mit dem Anwendungsprogramm umfasst; und

- wobei die Schnittstelle in der Lage ist, die tragbare medizinische Vorrichtung mit dem Anwendungsprogramm (32) zu paaren;

- wobei in einem gepaarten Zustand die tragbare medizinische Vorrichtung und das Anwendungsprogramm (32) über eine Datenkommunikationsverbindung verbunden sind; und

- wobei die eine tragbare medizinische Vorrichtung nur im gepaarten Zustand zum Ermöglichen einer Übertragung von Messdaten an das Anwendungsprogramm konfiguriert ist.
Sicherheitssystem nach irgendeinem der vorhergehenden Ansprüche, wobei das Anwendungsprogramm zum Ausführen von Schritten konfiguriert ist, umfassend:
- das Aufnehmen eines Paarungsbefehls vom Patienten über eine Benutzerschnittstelle oder von der tragbaren medizinischen Vorrichtung;

- als Reaktion auf das Aufnehmen des Paarungsbefehls, Anfordern einer Vorrichtungs-ID von der tragbaren medizinischen Vorrichtung;

- als Reaktion auf die Anforderung, Aufnehmen der Vorrichtungs-ID von der tragbaren medizinischen Vorrichtung;

- Beurteilen der aufgenommenen Vorrichtungs-ID zum Bestimmen, ob eine Paarung zwischen dem Anwendungsprogramm und der medizinischen Messvorrichtung schon mindestens einmal vorher festgelegt worden ist;

- nur wenn bestimmt wird, dass die Paarung zwischen dem Anwendungsprogramm und der medizinischen Messvorrichtung schon mindestens einmal vorher festgelegt worden ist, automatisches Festlegen der Paarung in Zusammenarbeit mit der tragbaren medizinischen Vorrichtung, durch Schaffen der Datenkommunikationsverbindung; und automatisch Durchführen des Weiterleitens der Messdaten;

- nur wenn bestimmt wird, dass die Paarung zwischen dem Anwendungsprogramm und der medizinischen Messvorrichtung noch nicht mindestens einmal vorher festgelegt worden ist, automatisches Senden einer Vorrichtungregistrieranforderung an den Buchhaltungsmanager, wobei die Vorrichtungregistrieranforderung die aufgenommene Vorrichtung-ED und eine Patienten-ID des Patienten, der die Mobilvorrichtung benutzt, umfasst;
und nur Ausführen des Weiterleitens der Messdaten, nachdem eine Bestätigung vom Buchhaltungsmanager aufgenommen worden ist, dass die tragbare medizinische Vorrichtung für den Patienten erfolgreich beim Buchhaltungsmanager registriert worden ist.
Sicherheitssystem nach Anspruch 3, wobei das Anwendungsprogramm derart konfiguriert ist, dass
- als Reaktion auf das Aufnehmen der Bestätigung von dem Buchhaltungsmanager, dass die tragbare medizinische Vorrichtung erfolgreich für den Patienten beim Buchhaltungsmanager registriert worden ist, permanent Speichern der Vorrichtungs-ID in einem Speichermedium der Mobilvorrichtung als Bezugswert in Verbindung mit der Bestätigung des Buchhaltungsmanagers; und

- mit Bezug auf das Aufnehmen eines späteren Paarungsbefehls, Bestimmen, durch Vergleichen der gespeicherten Bezugsvorrichtungs-ID mit einer Vorrichtungs-ID, die von der medizinischen Messvorrichtung aufgenommen worden ist, dass eine Paarung zwischen dem Anwendungsprogramm und der medizinischen Messvorrichtung schon festgestellt worden ist.
Sicherheitssystem nach irgendeinem der Ansprüche 3 - 4, wobei das Anwendungsprogramm derart konfiguriert ist, dass das Aufnehmen der Vorrichtungs-ID von der tragbaren medizinischen Vorrichtung Folgendes umfasst:
- Aufnehmen einer Nachricht von der tragbaren medizinischen Vorrichtung, das keine Vorrichtungs-ID zu dem Anwendungsprogramm zurückgeschickt werden kann;

- automatisches Schaffen einer willkürlichen Zeichenfolge;

- Zurückschicken der gebildeten willkürlichen Zeichenfolge zu der tragbaren medizinischen Vorrichtung zur Speicherung auf Dauer in einem Speicher der tragbaren medizinischen Vorrichtung als Vorrichtungs-ID der Messvorrichtung;

- Benutzen der geschaffenen willkürlichen Zeichenfolge als aufgenommene Vorrichtungs-ID.
Sicherheitssystem nach einem der Ansprüche 3 - 5, wobei der Buchhaltungsmanager derart konfiguriert ist, dass das erfolgreiche Registrieren der tragbaren medizinischen Vorrichtung beim Buchhaltungsmanager folgendes umfasst:
- Authentifizierung des Patienten;

- Aufnehmen einer Bestätigung von dem authentifizierten Patienten, dass die tragbare medizinische Vorrichtung, die durch die Vorrichtungs-ID in der Vorrichtungsregistrieranforderung identifiziert worden ist, registriert werden soll;

- wenn die Bestätigung aufgenommen worden ist, Speichern der Vorrichtungs-ID, die in der Vorrichtungregistrieranforderung enthalten ist, durch den Buchhaltungsmanager in Verbindung mit der Patienten-ID in der Vorrichtungsregistrieranforderung, wobei die Patienten-ID das Patientenkonto des Patienten identifiziert.
Sicherheitssystem nach irgendeinem der Ansprüche 1 - 6,
- wobei der Buchhaltungsmanager derart konfiguriert ist, dass nur Messdaten, die durch eine tragbare medizinische Vorrichtung erfasst worden und erfolgreich durch den Buchhaltungsmanager registriert worden sind, in Verbindung mit einem jeweiligen Patientenkonto aufgenommen und gespeichert werden und/oder

- wobei das Anwendungsprogramm derart konfiguriert ist, dass nur Messdaten, die durch eine tragbare medizinische Vorrichtung erfasst worden und erfolgreich beim Buchhaltungsmanager registriert worden sind, zu dem Buchhaltungsmanager weitergeleitet werden.
Sicherheitssystem nach irgendeinem der vorhergehenden Ansprüche, wobei die medizinische Messvorrichtung eine Glucosemessvorrichtung ist.
Sicherheitssystem nach irgendeinem der vorhergehenden Ansprüche, wobei der Buchhaltungsmanager konfiguriert ist, auf das Aufnehmen der Anforderung, das Konto zu deaktivieren, die folgenden Schritte auszuführen:
- Sperren der Datensynchronisierungsfunktionen, wobei die Datensynchronisierungsfunktionen konfiguriert sind, die Daten zwischen einer ersten und einer zweiten Speichervorrichtung auszutauschen, wobei die ausgetauschten Daten zum ersten Konto und/oder einem der identifizierten Patientenkonten gehören, wobei die erste Speichervorrichtung Teil der Servervorrichtung und/oder funktionsfähig damit verbunden ist, wobei die zweite Speichervorrichtung Teil der medizinischen Messvorrichtung ist und/oder

- Sperren der Datenmitbenutzungsfunktionen, wobei die Datenmitbenutzungsfunktionen konfiguriert sind, Daten zwischen dem ersten Konto und jedem der identifizierten Patientenkonten auszutauschen, wobei die Daten, die zu dem ersten Konto und zu den identifizierten Patientenkonten gehören, in einer Speichervorrichtung gespeichert werden, die Teil der Servervorrichtung oder funktionsfähig damit verbunden ist.
Mit dem Computer ausgeführtes Verfahren zum Verwalten von Konten in einem Diabetes-Managementsystem, wobei das Verfahren in einem Sicherheitssystem nach irgendeinem der Ansprüche 1 - 9 ausgeführt wird, wobei das Verfahren Folgendes umfasst:
- Aufnehmen, durch den Buchhaltungsmanager, der Anforderung, das erste Konto zu deaktivieren, das mit einem Gesundheitsdienstleister verbunden ist, wobei der Buchhaltungsmanager als durch einen Computer ausführbare Anweisungen ausgeführt wird, die in einem Computerprozessor der Servervorrichtung (18) ausgeführt werden;

- Entfernen, durch den Buchhaltungsmanager, von Zugang zu Daten, die mit dem ersten Konto verbunden sind;

- Identifizieren, durch den Buchhaltungsmanager, jedes der Patientenkonten, die mit dem ersten Konto verbunden sind, und Deaktivieren jedes der identifizierten Patientenkonten;

- Senden, durch den Buchhaltungsmanager, der elektronischen Benachrichtigung an die Person, die mit jedem der identifizierten Patientenkonten verbunden ist, wobei die elektronische Benachrichtigung die Person verständigt, dass das entsprechende Patientenkonto deaktiviert worden ist; und

- Schaffen, durch den Buchhaltungsmanager, eines Prüfprotokolls in einem Datenspeicher, wo das Prüfprotokoll die Deaktivierung des ersten Kontos anzeigt; und

- Senden, durch den Buchhaltungsmanager, eines Beendigungsbefehls an das Anwendungsprogramm der Patienten, die mit jedem der identifizierten Patientenkonten verbunden sind, wobei die Anwendungsprogramme so konfiguriert sind, dass sie das Weiterleiten medizinischer Messdaten zum Buchhaltungsmanager auf das Erhalten des Beendigungsbefehls hin sofort beendigen.
Verfahren nach Anspruch 10, ferner das Archivieren von Daten, die mit jedem der Vielzahl von Patientenkonten verbunden sind, für eine vorbestimmte Zeitperiode umfassend.
Verfahren nach irgendeinem der vorhergehenden Ansprüche 10 - 11, ferner das Sperren, durch den Buchhaltungsmanager, der Datensynchronisierungsfunktionen umfassend, wobei die Datensynchronisierungsfunktionen konfiguriert sind, Daten zwischen einer ersten und einer zweiten Speichervorrichtung auszutauschen, wobei die ausgetauschten Daten zum ersten Konto und/oder einem der identifizierten Patientenkonten gehören, wobei die erste Speichervorrichtung Teil der Servervorrichtung und/oder funktionsfähig damit verbunden ist, wobei die zweite Speichervorrichtung Teil einer medizinischen Vorrichtung ist.
Verfahren nach irgendeinem der vorhergehenden Ansprüche 10 - 13, ferner das Sperren, durch den Buchhaltungsmanager, Datenmitbenutzungsfunktionen umfassend, wobei die Datenmitbenutzungsfunktionen konfiguriert sind, Daten zwischen dem ersten Konto und jedem der identifizierten Patientenkonten auszutauschen, wobei die Daten, die zu dem ersten Konto und zu den identifizierten Patientenkonten gehören, in einer Speichervorrichtung gespeichert werden, die Teil der Servervorrichtung oder funktionsfähig damit verbunden ist.
Verfahren nach irgendeinem der vorhergehenden Ansprüche 10 - 13, ferner das Authentifizieren, durch den Buchhaltungsmanager, der Anforderung umfassend, das erste Konto, das mit dem Gesundheitsdienstleister verbunden ist, zu deaktivieren und nur das erste Konto in dem Fall zu deaktivieren in dem die Anforderung erfolgreich authentifiziert worden ist.
Verfahren nach irgendeinem der vorhergehenden Ansprüche 10 - 14, umfassend:
- Aufnehmen, durch den Buchhaltungsmanager, einer Anforderung, ein Patientenkonto zu deaktivieren, das mit dem Diabetes-Pflegemanagementsystem verbunden ist;

- Bereitstellen, durch den Buchhaltungsmanager, einer Warnnotifizierung, dass aktive Perioden des Patientenkonto beendet werden,

- Erbitten, durch den Buchhaltungsmanager, einer Bestätigung der Anforderung, das Patientenkonto zu deaktivieren;

- Deaktivieren des Patientenkontos nach Aufnahme der Bestätigung der Anforderung, das Patientenkonto zu deaktivieren;

- Senden, durch den Buchhaltungsmanager, einer elektronischen Benachrichtigung an den Gesundheitsdienstleister, dessen erstes Konto mit dem Patientenkonto verbunden ist, wobei die elektronische Benachrichtigung die Person in Kenntnis setzt, dass das entsprechende Patientenkonto deaktiviert worden ist; und

- Schaffen, durch den Buchhaltungsmanager, eines Prüfprotokolls in einem Datenspeicher, wo das Prüfprotokoll die Deaktivierung des Patientenkontos anzeigt.
Verfahren nach irgendeinem der Ansprüche 10 - 15, wobei zwei oder mehr der Patientenkonten jeweils mit einer tragbaren medizinischen Vorrichtung verbunden sind, wobei das Verfahren ferner die folgenden Schritte umfasst, die durch den Buchhaltungsmanager ausgeführt werden sollen:
- Aufnehmen einer Anforderung, alle tragbaren medizinischen Vorrichtungen eines spezifischen Vorrichtungstyps und/oder einer spezifischen Vorrichtungstypversion zu deaktivieren, wobei die Anforderung eine Vorrichtungstyp-ID und/oder eine Vorrichtungstypversion umfasst;

- Identifizieren aller Patientenkonten, denen eine Vorrichtungs-ID einer tragbaren medizinischen Vorrichtung des Typs oder der Version, der/die in der Anforderung angegeben ist, zugeordnet ist;

- Deaktivieren und Löschen, im Register, der Vorrichtungen, deren Typ und/oder Version in der Anforderung angegeben ist, in den identifizierten Patientenkonten;

- Senden einer elektronischen Benachrichtigung an die Patienten der identifizierten Patientenkonten, wobei die elektronische Benachrichtigung die Person verständigt, dass die entsprechende tragbare medizinische Vorrichtung im Register gelöscht worden ist und/oder eine Firmwareaktualisierung benötigt.
Verfahren nach irgendeinem der Ansprüche 10 - 16, wobei mindestens ein Teil der Daten verschlüsselt ist.
Verfahren nach irgendeinem der vorhergehenden Ansprüche 10 - 17, wobei die Anforderung, das Patientenkonto zu deaktivieren, vom ersten Gesundheitsdienstleisterkonto stammt und mit dem Patientenkonto verbunden ist.
Verfahren nach irgendeinem der vorhergehenden Ansprüche 15 - 18, wobei die elektronische Benachrichtigung einem Patienten bereitgestellt wird, der mit dem Patientenkonto verbunden ist.
Verfahren nach irgendeinem der vorhergehenden Ansprüche 15 - 19, ferner das Authentifizieren, durch den Buchhaltungsmanager, der Anforderung, das Patientenkonto zu deaktivieren, vordem Deaktivieren des Patientenkontos, und nur das Patientenkontos in dem Fall zu deaktivieren, dass die Anforderung erfolgreich authentifiziert worden ist, umfassend .
Verfahren nach irgendeinem der vorhergehenden Ansprüche 10 - 20, wobei das Patientenkonto mit einer tragbaren medizinischen Vorrichtung verbunden ist und das Verfahren ferner das Sperren, durch den Buchhaltungsmanager, der Datenübertragung zwischen der tragbaren medizinischen Vorrichtung und dem Patientenkonto auf ein Deaktivieren des Patientenkontos hin umfasst, wobei Patientendaten, die zu dem Patientenkonto gehören, in einem Speichermedium gespeichert werden, das zur Servervorrichtung gehört und/oder funktionsfähig damit verbunden ist.
Verfahren nach irgendeinem der vorhergehenden Ansprüche 10 - 21, ferner Folgendes umfassend:
- Sperren, durch den Buchhaltungsmanager, der Datenübertragung zwischen einem elektronischen medizinischen Dokumentationssystem und dem Patientenkonto auf eine Deaktivierung des Patientenkontos hin, wobei Patientendaten, die zu dem Patientenkonto gehören, in einem Speichermedium gespeichert werden, das zu der Servervorrichtung gehört und/oder funktionsfähig damit verbunden ist; und

- Bereitstellen, durch den Buchhaltungsmanager, einer Möglichkeit, die Anforderung, das Patientenkonto zu deaktivieren, zu widerrufen.